CN107659542A - 一种鉴权方法及服务器 - Google Patents
一种鉴权方法及服务器 Download PDFInfo
- Publication number
- CN107659542A CN107659542A CN201610597481.8A CN201610597481A CN107659542A CN 107659542 A CN107659542 A CN 107659542A CN 201610597481 A CN201610597481 A CN 201610597481A CN 107659542 A CN107659542 A CN 107659542A
- Authority
- CN
- China
- Prior art keywords
- authority information
- service providing
- authority
- providing end
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种鉴权方法及服务器,其鉴权方法包括:由服务提供端从权限中心获取该服务提供端对应的权限信息,将该权限信息存储在本地;接收来自服务请求端的应用服务请求;根据所获取的权限信息,在本地对所述应用服务请求进行鉴权。根据本申请的技术方案,通过将权限中心的相应权限信息存储到服务请求端,从而服务请求端在接收到应用请求的情况下,直接在本地对应用请求进行鉴权运算,从而显著减少了鉴权过程的网络开销。
Description
技术领域
本申请涉及计算机应用的鉴权,尤其涉及一种鉴权方法及服务器。
背景技术
在计算机应用领域,不同的应用或服务器之间通常存在相互调用服务的需求,为了提高服务之间调用的安全性,在服务调用的过程中进行鉴权,如图1和图2所示。图1中的服务请求端(或称“服务消费者”)即需要调用服务的服务器,服务提供端(或称“服务提供者”)即将服务提供给其他应用的服务器。如图1,服务请求端将调用服务的请求发送至服务提供端,服务提供端接收到该请求后,向鉴权中心发送对该调用请求的鉴权请求,鉴权中心通过鉴权,将鉴权结果返回服务请求端,如果服务请求端接收到的鉴权结果是鉴权成功,则服务请求端将该调用请求对应的服务返回给服务提供端,否则,则不返回。更具体地,以图2所示的包括商品中心、交易平台、物流中心等多个分布式应用在内的分布式系统为例,当商品中心或/和物流中心作为服务请求端,需要向作为服务提供端的交易平台发送业务请求时,则交易平台在接收到业务请求后,通常向中心化的鉴权中心发送鉴权请求,从而基于从鉴权中心所接收到的鉴权结果,返回相应的业务处理结果。例如,如果从鉴权中心接收到的鉴权结果是未通过鉴权,则返回不能调用相关业务的结果;如果接收到的是通过鉴权,则返回所需调用的业务数据。
目前这种鉴权主要存在以下缺陷至少之一:
1)服务提供端每接收到一次服务请求,都需要向鉴权中心发送一次远程鉴权请求,这花费较高的网络开销;
2)如果鉴权中心的服务器挂掉,则鉴权中心不能对鉴权请求正常响应,降低了包括服务请求端、服务提供端在内的整个系统的可用性;
3)由于所有的鉴权都在鉴权中心进行,为了保证在应对大量的鉴权请求的情况下鉴权中心不宕机,需要部署大量的鉴权中心服务器,需要耗费大量的硬件成本。
发明内容
本申请的一个目的是减少鉴权过程的网络开销。
根据本申请的一个实施例,提供了一种鉴权方法,该方法包括以下步骤:由服务提供端从权限中心获取该服务提供端对应的权限信息,将该权限信息存储在本地;接收来自服务请求端的应用服务请求;根据所获取的权限信息,在本地对所述应用服务请求进行鉴权。
与现有技术相比,基于本实施例,通过将权限中心的相应权限信息存储到服务请求端,从而服务请求端在接收到应用请求的情况下,直接在本地对应用请求进行鉴权运算,从而显著减少了鉴权过程的网络开销。
根据本申请的一个实施例,提供了一种管理权限信息的方法,该方法包括:接收对权限信息的配置;响应于服务请求端获取权限信息的请求,将所配置的权限信息中与该服务提供端对应的权限信息发送至服务提供端,以使该服务提供端基于所对应的权限信息在本地对其所接收到的应用服务请求进行鉴权。
与现有技术相比,基于本实施例,权限中心的权限信息除存储于权限中心外,当接收到服务请求端的请求,还将与该服务请求端对应的权限信息发送至服务请求端存储,从而有效地实现了在服务请求端本地对应用请求的鉴权运算,显著减少了鉴权过程的网络开销。
根据本申请的一个实施例,提供了一种服务提供服务器,该服务提供服务器包括:持久化配置订阅客户端,用于从权限中心获取该服务提供服务器对应的权限信息;本地磁盘,用于将所获取的权限信息存储在本地;请求接收装置,用于接收来自服务请求端的应用服务请求;鉴权装置,用于根据本地磁盘存储的权限信息,在该服务提供服务器上对该应用服务请求进行鉴权。
根据本申请的一个实施例,提供了一种权限中心服务器,该权限中心服务器包括:权限信息配置端,用于接收对权限信息的配置;权限信息数据库,用于存储权限信息;持久化配置订阅服务器,用于将所配置的权限信息写入权限信息数据库,并用于和服务提供服务器中的持久化配置订阅客户端通信:响应于持久化配置订阅客户端获取权限信息的请求,从所述权限信息数据库中读取与该服务提供端对应的权限信息,并将该读取的权限信息发送至持久化配置订阅客户端,以使该服务提供端基于所对应的权限信息在本地对其所接收到的应用服务请求进行鉴权。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为现有技术中鉴权过程的示意简图;
图2为现有技术中以分布式系统的多个应用组件为例进行鉴权的示意图;
图3为本申请一个实施例的鉴权方法的流程图;
图4为本申请一个实施例的在服务提供端鉴权成功的示意图;
图5为本申请一个实施例的在服务提供端鉴权失败的示意图;
图6示出了根据本申请一个实施例的权限中心和服务提供端的示意性框图;
图7示出了根据本申请一个实施例的服务提供端从权限中心获取权限信息的过程示意图;
图8示出了根据本申请一个实施例的权限中心的相应权限信息从权限中心写入服务提供端的内存的过程示意图;
图9为根据本申请一个实施例的对图3中的步骤S101还可以包括的其他步骤进行描述的流程图;
图10为根据本申请一个实施例的对图9中的各步骤进行更详细描述的流程图;
图11为本申请一个实施例的管理权限信息的方法的流程图;
图12为本申请一个实施例的管理权限信息的方法还可以包括的其他步骤的流程图;
图13为本申请一个实施例的服务提供服务端的示意性框图;
图14为本申请一个实施例的权限中心服务器的示意性框图;
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
在上下文中所称“计算机设备”,也称为“电脑”,是指可以通过运行预定程序或指令来执行数值计算和/或逻辑计算等预定处理过程的智能电子设备,其可以包括处理器与存储器,由处理器执行在存储器中预存的存续指令来执行预定处理过程,或是由ASIC、FPGA、DSP等硬件执行预定处理过程,或是由上述二者组合来实现。计算机设备包括但不限于服务器、个人电脑、笔记本电脑、平板电脑、智能手机等。
所述计算机设备包括用户设备与网络设备。其中,所述用户设备包括但不限于电脑、智能手机、PDA等;所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(Cloud Computing)的由大量计算机或网络服务器构成的云,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。其中,所述计算机设备可单独运行来实现本申请,也可接入网络并通过与网络中的其他计算机设备的交互操作来实现本申请。其中,所述计算机设备所处的网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。
需要说明的是,所述用户设备、网络设备和网络等仅为举例,其他现有的或今后可能出现的计算机设备或网络如可适用于本申请,也应包含在本申请保护范围以内,并以引用方式包含于此。
后面所讨论的方法(其中一些通过流程图示出)可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或者其任意组合来实施。当用软件、固件、中间件或微代码来实施时,用以实施必要任务的程序代码或代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可以实施必要的任务。
这里所公开的具体结构和功能细节仅仅是代表性的,并且是用于描述本申请的示例性实施例的目的。但是本申请可以通过许多替换形式来具体实现,并且不应当被解释成仅仅受限于这里所阐述的实施例。
应当理解的是,虽然在这里可能使用了术语“第一”、“第二”等等来描述各个单元,但是这些单元不应当受这些术语限制。使用这些术语仅仅是为了将一个单元与另一个单元进行区分。举例来说,在不背离示例性实施例的范围的情况下,第一单元可以被称为第二单元,并且类似地第二单元可以被称为第一单元。这里所使用的术语“和/或”包括其中一个或更多所列出的相关联项目的任意和所有组合。
这里所使用的术语仅仅是为了描述具体实施例而不意图限制示例性实施例。除非上下文明确地另有所指,否则这里所使用的单数形式“一个”、“一项”还意图包括复数。还应当理解的是,这里所使用的术语“包括”和/或“包含”规定所陈述的特征、整数、步骤、操作、单元和/或组件的存在,而不排除存在或添加一个或更多其他特征、整数、步骤、操作、单元、组件和/或其组合。
还应当提到的是,在一些替换实现方式中,所提到的功能/动作可以按照不同于附图中标示的顺序发生。举例来说,取决于所涉及的功能/动作,相继示出的两幅图实际上可以基本上同时执行或者有时可以按照相反的顺序来执行。
下面结合附图对本申请作进一步详细描述。
在描述各实施例前,对本申请将涉及到的一些技术术语解释如下:
应用:应用是组成大型系统的子系统(或服务器),以大型购物网站系统为例,其包括的子系统如:和商品相关的商品中心,和交易付款相关的交易平台。应用可以提供服务,也可以依赖别的应用提供服务。各个应用通过相互依赖一起完成购物网站的功能。
持久化配置订阅装置,包括客户端和服务器,用于使相关联的服务器的权限信息同步。
图3为本申请一个实施例的鉴权方法的流程图,如图3所示,所述鉴权方法包括步骤S101、步骤S102和步骤S103,该鉴权方法由服务提供端(即将服务提供给另一应用的服务器)执行。
在步骤S101,由服务提供端从权限中心获取该服务提供端对应的权限信息,将该权限信息存储在本地。
在步骤S102,接收来自服务请求端的应用服务请求。
在步骤S103,根据所获取的权限信息,在本地对所述应用服务请求进行鉴权。
下文将对上述步骤S101~S103进行详述。
对于步骤S101,所述服务提供端,可以指将服务提供给服务请求端的应用。当然,服务提供端与服务请求端(需要其他应用提供服务的应用)是相对的,在一些情况下,同一应用既可以是向一些应用提供服务的服务提供端,也可以是向另一些应用提出服务请求的服务请求端。
所述权限中心,可以指用于存储所有应用提供端的权限信息的服务器。
所述服务提供端从权限中心获取该服务提供端对应的权限信息可以是,服务提供端主动从该权限中心拉取其对应的权限信息,也可以是当该权限中心有关于该服务提供端的权限信息进行增加、删除、更新等变更时,由权限中心主动向服务提供端推送变更的权限信息。
优选地,服务提供端主动从该权限中心拉取其对应的权限信息,这是因为在某些情况下,一旦服务提供端出现不能正常工作的情况,则权限中心在推送相应权限信息的情况下可能需要不断重复推送直到服务提供端正常的情况下才能推送成功,而如果由服务提供端主动来拉取权限信息,则在其不正常工作的情况下不会出现由服务提供端多次失败地推送权限信息而产生的较大系统开销。
在一个实施例中,为了提高鉴权中心向各服务提供端发送权限信息的安全性,将鉴权中心的权限信息根据各服务提供端进行分片存储,也即在数据结构上将鉴权中心中相应的权限信息与相应的服务提供端关联,从而当某个服务提供端A向鉴权中心获取权限信息的情况下,该服务提供端A只能获取与自身对应的权限信息,而不能获取其他服务提供端诸如B相对应的权限信息。
其中,权限信息存储在服务提供端的本地,可以指存储在服务提供端的本地磁盘,也可以指存储在服务提供端的内存,也可以指在两者都予以存储或在服务提供端的其他存储装置进行存储。
对于步骤S102,对于组成同一系统的不同应用而言,这些应用之间通常涉及到对彼此提供的服务的使用。
以组成购物网站的多个应用举例,和交易付款相关的交易平台(一应用)可能涉及到向获取商品属性(例如商品型号、颜色等)的商品应用(另一应用)发出获取待交易商品的属性信息的请求,从而在获取到待交易商品的属性信息的基础上来计算该商品的价格。
对于步骤S103鉴权的过程,简单描述如下:
当服务提供端接收到服务请求端发送的应用服务请求时,根据该应用服务请求里所包括的身份信息(如访问公钥AccessKey)、根据私钥加密后的请求服务信息,通过权限中心客户端利用服务提供端内存里的权限信息对该服务请求进行校验。
由于本申请的服务提供端从权限中心获取到相关权限信息后将其存储在本地,从而当服务提供端接收到来自服务请求端的应用服务请求时,可以不再通过权限中心对该应用服务请求进行鉴权,而是直接基于本地存储的权限信息对该应用服务请求鉴权,如果鉴权通过,如图4所示,则将该请求对应的应用服务提供给服务请求端;否则,如图5所示,则向服务请求端返回诸如鉴权失败的消息。
从而相对于现有技术集中在鉴权中心进行所有服务请求的鉴权,本申请实施例显然具有以下优点:
1)明显节省了因远程的鉴权中心的鉴权而产生的较高的网络开销;
2)如果本申请实施例的权限中心突然不能正常工作,例如服务器挂掉,由于服务提供端依然可以基于已存储的权限信息进行鉴权,因而提升了包括服务请求端、服务提供端在内的整个系统的可用性;
3)本申请的权限中心由于不再需要直接应对每一个服务请求的鉴权工作,因而不再需要部署大量的服务器,显著降低了服务器的硬件成本。
在一个实施例中,为了保证服务提供端中已获取的权限信息的安全,所述步骤S101包括:
-从权限中心获取该服务提供端对应的、加密权限信息,将该加密权限信息存储在本地磁盘;
-用已知的与该加密权限信息对应的密钥进行解密并将解密后的权限信息存储至本地内存;
基于此,步骤S103中的在本地对所述应用服务请求进行鉴权包括:
-根据所述内存中解密后的权限信息,对该应用服务请求进行鉴权。
为了更好地理解上述步骤,请参考图6,图6示出了根据本申请一个实施例的权限中心和服务提供端的示意性框图。
根据图6,所述权限中心可以包括:
-权限中心控制台A,用于接收授权信息,例如接收来自相关权限用户输入的授权信息操作;
-持久化配置订阅服务器B,用于接收权限中心控制台对权限信息的操作,并将接收的权限信息写入持久化配置管理数据库以及其自身具有的本地磁盘。也即,该服务器B通过其本身具有的本地磁盘(为避免引起混淆,未在图6中示出服务器B的本地磁盘)和下文的持久化配置管理数据库D来持久化存储权限信息,从而在持久化配置管理数据库D出现不正常工作的情况时,也能从其本身具有的本地磁盘上来读取所存储的权限信息。
-持久化配置管理数据库D,用于存储持久化配置订阅服务器写入的权限信息并接受持久化配置订阅服务器对其所存储的权限信息的读取。
所述服务提供端包括:
-持久化配置订阅客户端,用于从权限中心的持久化配置订阅服务器获取该服务提供端对应的权限信息并将该权限信息存储在本地磁盘。其中,所述获取到的权限信息可选地为加密权限信息;
-本地磁盘,用于存储持久化配置订阅客户端写入的权限信息并接受持久化配置订阅客户端对其所存储的权限信息的读取;
-权限中心客户端,用于以已知的与该加密权限信息对应的密钥进行解密并将解密后的权限信息存储至内存;
-本地内存,用于存储服务提供端的权限信息。通常,在服务提供端重启或权限中心有关本服务提供端的权限信息发生变化等特殊情况下基于权限中心客户端将本地磁盘的权限信息的再次写入内存;以及当本地磁盘上的权限信息为加密权限信息时,基于权限中心客户端以已知的与该加密权限信息对应的密钥进行解密并将解密后的权限信息存储至内存。
在一种情况下,服务提供端的持久化配置订阅客户端从持久化配置订阅服务器主动拉取其对应的、加密权限信息存储到本地磁盘,从而当该服务提供端在特定的情况下,例如其服务器重启,则在初始化本地内存的过程中,基于已知的与该加密权限信息对应的密钥进行解密从而基于解密后的权限信息在内存中完成对相应请求的鉴权,从而因本实施例是对已存储在本地磁盘的加密权限信息解密,可以及时高效地完成在本地内存的鉴权。
更具体地,例如,用户可以通过登录权限中心服务器对应的客户端,基于身份认证等过程,获取到权限中心服务器上存储的与该服务提供端对应的加密权限信息的密钥。从而当服务提供端已从权限中心获取该服务提供端对应的、加密权限信息,将该加密权限信息存储在本地磁盘并接收到服务请求端的服务请求,则如果获取到服务提供端的该用户输入的密钥,则可以基于该密钥对加密权限信息解密,从而在内存中安全可靠地完成在本地内存中对该服务请求的鉴权。
基于上述实施例,只有在具有相应密钥,将服务提供端的加密权限信息解密后才能在该服务提供端的内存鉴权,否则因不能解密该权限信息而无法在该服务提供端完成鉴权的工作,从而显著提升了服务提供端鉴权工作的安全性。
根据本申请的一个实施例,由于鉴权中心中存储的与各服务提供端对应的权限信息并不一定是一成不变的,可能存在新增权限、对原有的权限信息的修改或删除等(统称为变更)情况,因而为了保证服务提供端能够基于实时有效的鉴权信息而不是过时的鉴权信息进行鉴权,所述步骤S101还包括:
-监听权限中心中与该服务提供端对应的权限信息是否变化;
-如果变化,从权限中心获取所述变化的权限信息同步至该服务提供端。
具体地,为了服务提供端能够及时有效地获取到权限中心中有关于其权限信息是否变更的消息,从而及时更新本地的权限信息,图6所示的持久化配置订阅客户端和持久化配置订阅服务器建立长连接,监听持久化配置订阅服务器是否向持久化配置管理数据库写入新的权限信息或对原有的权限信息进行修改、删除等。一旦监听到存在与本服务提供端的权限信息有变化,则从持久化配置订阅服务器拉取变化的权限信息,写入到本服务提供端的相应存储装置上,如本地磁盘、内存等。
也即,本实施例的持久化配置订阅客户端在建立和持久化配置订阅服务器的长连接的情况下,通过不断地向持久化配置订阅服务器发送请求以获取最新的权限信息。
对于本申请的权限中心而言,根据本申请的一个实施例,除包括为不同服务提供端的服务器提供权限信息存储的持久化配置管理数据库,还包括便于权限信息被读取的权限中心数据库(如图6所示的C)。
该权限中心数据库C中存储的权限信息通常是不加密的,以便登录权限中心对该数据库C中的权限数据进行读取。而对比之下,为了提升权限信息持久化配置管理数据库中存储的权限信息的安全性,使得服务提供端在拉取到该数据库的权限数据后经过解密才能鉴权,而不是任意服务提供端在拉取到该数据库中的权限数据时都能进行鉴权,持久化配置管理数据库中的权限数据通常是加密的,而加密的时间通常是权限中心控制台向持久化配置订阅服务器推送信息之前对该信息加密。
为了进一步了解服务提供端从权限中心拉取权限信息的过程,请参考图7,图7以服务提供端以及权限中心服务器所包括的权限中心控制台、权限中心数据库、持久化配置订阅服务器为例来说明服务提供端从权限中心获取权限信息的过程。如图7所示:
1:如果权限中心控制台接收到授权数据(例如接收到相关权限用户输入的授权数据)请求,向权限中心数据库写入该授权的权限信息;
2:如果将该权限信息成功写入权限中心数据库,则由权限中心数据库向权限中心控制台返回写入成功的结果;
3:为了便于服务提供端从权限中心获取权限信息,权限中心控制台还将该权限信息(优选为加密权限信息)写入持久化配置订阅服务器;
4:如果该权限信息成功写入持久化配置订阅服务器,则由持久化配置订阅服务器向权限中心控制台返回写入成功的结果;
5:当持久化配置订阅服务器被成功写入权限信息后,服务提供端可以根据监听的结果从持久化配置订阅服务器上拉取相应的授权数据;
6:当服务提供端成功拉取相应的授权数据后,通常会向持久化配置订阅服务器返回权限数据拉取成功的结果。
为了进一步更详细地了解服务提供端是如何将权限中心的相应权限信息写入服务提供端的内存的过程,请参考图8,图8以权限中心的权限信息被修改为例来描述权限中心的相应权限信息写入服务提供端的内存的过程。如图8所示:
-权限中心控制台A接收到来自其对应的客户端(为便于说明,将其称为“权限中心服务器的客户端”)的被修改的权限信息m后,向权限中心数据库C写入该信息m;
-如果控制台A没有成功将该信息m写入数据库C,则向权限中心服务器的客户端返回写入失败的消息,否则,将该信息m加密后推送至持久化配置订阅服务器B上;
-持久化配置订阅服务器B进而将该信息m写入持久化配置管理数据库D中,如果写入失败,向权限中心服务器的客户端返回写入失败的消息;如果写入成功,则使持久化配置订阅服务器B将该更新的数据写入该服务器B自身的磁盘上;
-当服务提供端的持久化配置订阅客户端监听到与其相关的权限信息的变更,则从持久化配置订阅服务器B获取该变更的权限信息(已加密)并写入本地磁盘;
-进而,基于服务提供端的权限中心客户端对该变更的权限信息(已加密)解密并将解密后的权限信息写入服务提供端的内存,用于鉴权。
根据本申请的一个实施例,为了在服务提供端的服务器出现重启等情况下,依然能够基于最新的权限信息进行鉴权,请参考图9,所述步骤S101还包括:
步骤S201,响应于服务提供端的服务器重启操作,初始化该服务提供端的权限信息。
步骤S202,查询权限中心中与该服务提供端对应的权限信息。
步骤S203,将该查询到的权限信息与所述已有的权限信息进行对比,如果不同,则从所述权限中心获取与该服务提供端对应的、且该服务提供端中当前没有的权限信息,同步至该服务提供端。
具体地,对于上述步骤S201~步骤S203,可具体参考图10。
对于步骤S201,如果服务提供端的服务器出现关机、挂掉等使得服务提供端的内存信息不复存在的情况,则通过重启的操作,由权限中心客户端对该服务提供端内存的权限信息进行初始化。
进一步地,进入步骤S202,通过持久化配置订阅客户端查询权限中心中与本服务提供端对应的权限信息。
当查询到权限中心中与本服务提供端对应的权限信息,进入步骤S203,将其与本地磁盘中的权限信息进行对比,以确定权限中心中与本服务提供端对应的权限信息是否存在更新。
如果存在更新,则本地磁盘中当前的权限信息必然与该更新的权限信息不同,从而基于本服务提供端中的持久化配置订阅客户端从权限中心的持久化配置订阅服务器拉取所变更的、与本服务提供端对应的权限信息,并将该拉取的变更权限信息写入到本地磁盘,进而通过本服务提供端的权限中心客户端将本地磁盘上已更新的权限信息写入本地内存。当然,如果本地磁盘上的权限信息是加密的,则权限中心客户端基于已知的密钥对该加密权限信息进行解密并将解密后的权限信息存储在本地内存。
如果不存在更新,则本地磁盘中当前的权限信息通常与权限中心所存储的与本服务提供端对应的权限信息相同,在这种情况下,可以通过持久化配置订阅客户端直接在本地磁盘上拉取权限信息存储到本地内存上,以在内存上高效地对相关请求进行鉴权。当然,如果本地磁盘上的权限信息是加密的,则权限中心客户端基于已知的密钥对该加密权限信息进行解密并将解密后的权限信息存储在本地内存。
图11为本申请一个实施例的管理权限信息的方法的流程图,如图11所示,所述鉴权方法包括步骤S301和步骤S302,该管理权限信息的方法由权限中心的服务器执行。
步骤S301,接收对权限信息的配置;
步骤S302,响应于服务请求端获取权限信息的请求,将所配置的权限信息中与该服务提供端对应的权限信息发送至服务提供端,以使该服务提供端基于所对应的权限信息在本地对其所接收到的应用服务请求进行鉴权。
具体地,例如通过接收对权限中心服务器的客户端的登录,从而对权限中心的相关权限信息进行添加、修改、删除等,也即对权限信息进行配置。
服务请求端的持久化配置订阅客户端通过与权限中心服务器中的持久化配置订阅服务器建立长连接,从而对权限中心相关的权限信息的变化进行监听,一旦监听到权限信息的变动,则向权限中心发送获取相应权限信息的请求,从而权限中心的服务器响应于服务请求端获取权限信息的请求,将所配置的权限信息中与该服务提供端对应的权限信息发送至服务提供端,以使该服务提供端基于所对应的权限信息在本地对其所接收到的应用服务请求进行鉴权。
根据本申请的一个实施例,请参考图12,所述管理权限信息的方法还包括:
步骤S401,接收对已配置的权限信息的变更。
步骤S402,响应于服务请求端基于对与该服务提供端对应的权限信息是否变更进行的监听而发出的获取所述变更的、与该服务提供端对应的权限信息的请求,将所述变更的、与该服务提供端对应的权限信息发送至服务提供端。
具体地,鉴权中心中存储的与各服务提供端对应的权限信息并不一定是一成不变的,也可以接收第三方人员或设备对原有的权限信息的修改或删除、或新增权限信息,从而服务提供端的持久化配置订阅客户端一旦监听到存在与本服务提供端的权限信息有变化,则向权限中心的持久化配置订阅服务器发出拉取变化的权限信息的请求,从而权限中心服务器响应于服务请求端基于对与该服务提供端对应的权限信息是否变更进行的监听而发出的获取所述变更的、与该服务提供端对应的权限信息的请求,将所述变更的、与该服务提供端对应的权限信息发送至服务提供端。
根据本申请的一个实施例,上述步骤S302中的将所配置的权限信息中与该服务提供端对应的权限信息发送至服务提供端包括:
-将所配置的权限信息中与该服务提供端对应的加密权限信息发送至服务提供端。
具体地,为了提升权限信息持久化配置管理数据库中存储的权限信息的安全性,使得服务提供端在拉取到该数据库的权限数据后经过解密才能鉴权,而不是任意服务提供端在拉取到该数据库中的权限数据时都能进行鉴权,通常服务提供端从权限中心服务器拉取到的权限信息都是经过加密处理的,而加密的密钥可以预先发送至有权限的服务提供端。
图13为本申请一个实施例的服务提供服务器(即上文所述的服务提供端)的示意性框图,如图13所示,所述服务提供服务器包括:
持久化配置订阅客户端101,用于从权限中心获取该服务提供服务器对应的权限信息;
本地磁盘102,用于存储所获取的权限信息;
请求接收装置103,用于接收来自服务请求端的应用服务请求;
鉴权装置104(例如图6所示的权限中心客户端),用于根据本地存储的权限信息,在该服务提供服务器上对该应用服务请求进行鉴权。
可选地,持久化配置订阅客户端101还用于:
-监听权限中心中与该服务提供端对应的权限信息是否变化;
-如果变化,从权限中心获取所述变化的权限信息同步至该服务提供端。
可选地,所述服务提供服务器还包括:
权限中心客户端(如图6所示),用于响应于服务提供端的服务器重启操作,初始化该服务提供端的权限信息;
其中所述持久化配置订阅客户端101还用于:
-查询权限中心中与该服务提供端对应的权限信息;
-将该查询到的权限信息与所述已有的权限信息进行对比,如果不同,则从所述权限中心获取与该服务提供端对应的、且该服务提供端中当前没有的权限信息,同步至该服务提供端的本地存储装置保存。
可选地,上述持久化配置订阅客户端101从权限中心主动拉取该服务提供端对应的权限信息。
在一个实施例中,持久化配置订阅客户端101,用于从权限中心获取该服务提供服务器对应的、加密权限信息;
其中所述服务提供服务器还包括:
权限中心服务端(如图6所示),用于利用已知的与该加密权限信息对应的密钥进行解密并将解密后的权限信息存储至本地内存;
内存(如图6所示),用于存储所述解密后的权限信息;
其中,所述鉴权装置104用于根据所述内存存储的权限信息,在该服务提供服务器的内存中对该应用服务请求进行鉴权。
图14为本申请一个实施例的权限中心服务器的示意性框图,如图14所示,所述权限中心服务器包括:
权限信息配置端201,用于接收对权限信息的配置;
权限信息数据库202,用于存储权限信息;
持久化配置订阅服务器203,用于将所配置的权限信息写入权限信息数据库,并用于和服务提供服务器中的持久化配置订阅客户端通信:
响应于持久化配置订阅客户端获取权限信息的请求,从所述权限信息数据库中读取与该服务提供端对应的权限信息,并将该读取的权限信息发送至持久化配置订阅客户端,以使该服务提供端基于所对应的权限信息在本地对其所接收到的应用服务请求进行鉴权。
可选地,权限信息配置端201,用于接收对已配置的权限信息的变更;
持久化配置订阅服务器203,用于响应于持久化配置订阅客户端基于对与其所在的服务提供端对应的权限信息是否变更进行的监听而发出的获取所述变更的、与该服务提供端对应的权限信息的请求,将所述变更的、与该服务提供端对应的权限信息发送至持久化配置订阅客户端。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,本申请的各个装置可采用专用集成电路(ASIC)或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
虽然前面特别示出并且描述了示例性实施例,但是本领域技术人员将会理解的是,在不背离权利要求书的精神和范围的情况下,在其形式和细节方面可以有所变化。
Claims (15)
1.一种鉴权方法,其特征在于,该方法包括以下步骤:
由服务提供端从权限中心获取该服务提供端对应的权限信息,将该权限信息存储在本地;
接收来自服务请求端的应用服务请求;
根据所获取的权限信息,在本地对所述应用服务请求进行鉴权。
2.根据权利要求1所述的鉴权方法,其特征在于,所述由服务提供端从权限中心获取该服务提供端对应的权限信息的步骤还包括:
监听权限中心中与该服务提供端对应的权限信息是否变化;
如果变化,从权限中心获取所述变化的权限信息同步至该服务提供端。
3.根据权利要求1所述的鉴权方法,其特征在于,所述由服务提供端从权限中心获取该服务提供端对应的权限信息的步骤还包括:
响应于服务提供端的服务器重启操作,初始化该服务提供端的权限信息;
查询权限中心中与该服务提供端对应的权限信息;
将该查询到的权限信息与所述已有的权限信息进行对比,如果不同,则从所述权限中心获取与该服务提供端对应的、且该服务提供端中当前没有的权限信息,同步至该服务提供端。
4.根据权利要求1~3任一项所述的鉴权方法,其特征在于,所述从权限中心获取该服务提供端对应的权限信息包括:
从权限中心主动拉取该服务提供端对应的权限信息。
5.根据权利要求4所述的鉴权方法,其特征在于,所述由服务提供端从权限中心获取该服务提供端对应的权限信息,将该权限信息存储在本地的步骤包括:
从权限中心获取该服务提供端对应的、加密权限信息,将该加密权限信息存储在本地磁盘;
用已知的与该加密权限信息对应的密钥进行解密并将解密后的权限信息存储至本地内存;
其中所述根据所获取的权限信息,在本地对所述应用服务请求进行鉴权的步骤包括:
根据所述本地内存中解密后的权限信息,对该应用服务请求进行鉴权。
6.一种管理权限信息的方法,其特征在于,该方法包括:
接收对权限信息的配置;
响应于服务请求端获取权限信息的请求,将所配置的权限信息中与该服务提供端对应的权限信息发送至服务提供端,以使该服务提供端基于所对应的权限信息在本地对其所接收到的应用服务请求进行鉴权。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
接收对已配置的权限信息的变更;
响应于服务请求端基于对与该服务提供端对应的权限信息是否变更进行的监听而发出的获取所述变更的、与该服务提供端对应的权限信息的请求,将所述变更的、与该服务提供端对应的权限信息发送至服务提供端。
8.根据权利要求6或7所述的方法,其特征在于,所述将所配置的权限信息中与该服务提供端对应的权限信息发送至服务提供端包括:
将所配置的权限信息中与该服务提供端对应的加密权限信息发送至服务提供端。
9.一种服务提供服务器,其特征在于,该服务提供服务器包括:
持久化配置订阅客户端,用于从权限中心获取该服务提供服务器对应的权限信息;
本地磁盘,用于存储所获取的权限信息;
请求接收装置,用于接收来自服务请求端的应用服务请求;
鉴权装置,用于根据本地磁盘存储的权限信息,在该服务提供服务器上对该应用服务请求进行鉴权。
10.根据权利要求9所述的服务提供服务器,其特征在于,所述持久化配置订阅客户端还用于:
-监听权限中心中与该服务提供端对应的权限信息是否变化;
-如果变化,从权限中心获取所述变化的权限信息同步至该服务提供端。
11.根据权利要求9所述的服务提供服务器,其特征在于,还包括:
权限中心客户端,用于响应于服务提供端的服务器重启操作,初始化该服务提供端的权限信息;
其中所述持久化配置订阅客户端还用于:
-查询权限中心中与该服务提供端对应的权限信息;
-将该查询到的权限信息与所述已有的权限信息进行对比,如果不同,则从所述权限中心获取与该服务提供端对应的、且该服务提供端中当前没有的权限信息,同步至该服务提供端的本地存储装置保存。
12.根据权利要求9~11任一项所述的服务提供服务器,其特征在于,所述持久化配置订阅客户端用于:
-从权限中心主动拉取该服务提供端对应的权限信息。
13.根据权利要求12所述的服务提供服务器,其特征在于,
所述持久化配置订阅客户端,用于从权限中心获取该服务提供服务器对应的、加密权限信息;
其中所述服务提供服务器还包括:
权限中心服务端,用于利用已知的与该加密权限信息对应的密钥进行解密并将解密后的权限信息存储至本地内存;
本地内存,用于存储所述解密后的权限信息;
其中,所述鉴权装置用于根据所述本地内存中解密后的权限信息,对该应用服务请求进行鉴权。
14.一种权限中心服务器,其特征在于,该权限中心服务器包括:
权限信息配置端,用于接收对权限信息的配置;
权限信息数据库,用于存储权限信息;
持久化配置订阅服务器,用于将所配置的权限信息写入权限信息数据库,并用于和服务提供服务器中的持久化配置订阅客户端通信:
响应于持久化配置订阅客户端获取权限信息的请求,从所述权限信息数据库中读取与该服务提供端对应的权限信息,并将该读取的权限信息发送至持久化配置订阅客户端,以使该服务提供端基于所对应的权限信息在本地对其所接收到的应用服务请求进行鉴权。
15.根据权利要求14所述的权限中心服务器,其特征在于,
所述权限信息配置端,用于接收对已配置的权限信息的变更;
所述持久化配置订阅服务器,用于响应于持久化配置订阅客户端基于对与其所在的服务提供端对应的权限信息是否变更进行的监听而发出的获取所述变更的、与该服务提供端对应的权限信息的请求,将所述变更的、与该服务提供端对应的权限信息发送至持久化配置订阅客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610597481.8A CN107659542A (zh) | 2016-07-26 | 2016-07-26 | 一种鉴权方法及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610597481.8A CN107659542A (zh) | 2016-07-26 | 2016-07-26 | 一种鉴权方法及服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107659542A true CN107659542A (zh) | 2018-02-02 |
Family
ID=61127185
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610597481.8A Pending CN107659542A (zh) | 2016-07-26 | 2016-07-26 | 一种鉴权方法及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107659542A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108563958A (zh) * | 2018-04-17 | 2018-09-21 | 平安普惠企业管理有限公司 | 角色权限更新方法、装置、计算机设备和存储介质 |
| CN109274761A (zh) * | 2018-10-22 | 2019-01-25 | 郑州云海信息技术有限公司 | 一种nas集群节点、系统以及数据访问方法 |
| CN109828852A (zh) * | 2019-01-23 | 2019-05-31 | 北京奇艺世纪科技有限公司 | 一种权限管理方法、装置、系统、设备及可读存储介质 |
| CN110365745A (zh) * | 2019-06-21 | 2019-10-22 | 北京奇艺世纪科技有限公司 | 数据处理系统、方法、装置、服务器和计算机可读介质 |
| CN111698196A (zh) * | 2019-03-15 | 2020-09-22 | 大唐移动通信设备有限公司 | 一种鉴权方法及微服务系统 |
| CN112422490A (zh) * | 2020-04-15 | 2021-02-26 | 岭博科技(北京)有限公司 | 一种基于本地缓存对用户设备进行鉴权的方法及系统 |
| CN113434830A (zh) * | 2020-03-23 | 2021-09-24 | 杭州海康威视数字技术股份有限公司 | 一种权限控制的方法及系统 |
| CN113556357A (zh) * | 2021-07-30 | 2021-10-26 | 平安普惠企业管理有限公司 | 基于注册中心的鉴权方法、装置、设备及存储介质 |
| WO2024041334A1 (zh) * | 2022-08-22 | 2024-02-29 | 华为云计算技术有限公司 | 鉴权方法、装置、系统及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101170409A (zh) * | 2006-10-24 | 2008-04-30 | 华为技术有限公司 | 实现设备访问控制的方法、系统、业务设备和认证服务器 |
| CN101572719A (zh) * | 2008-04-30 | 2009-11-04 | 华为技术有限公司 | 策略决策功能实体、家庭网关、服务质量控制方法及系统 |
| CN102802169A (zh) * | 2011-05-25 | 2012-11-28 | 中兴通讯股份有限公司 | 一种业务访问控制方法和系统 |
| CN103167497A (zh) * | 2011-12-19 | 2013-06-19 | 卓望数码技术(深圳)有限公司 | 一种鉴权处理方法和鉴权处理系统 |
-
2016
- 2016-07-26 CN CN201610597481.8A patent/CN107659542A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101170409A (zh) * | 2006-10-24 | 2008-04-30 | 华为技术有限公司 | 实现设备访问控制的方法、系统、业务设备和认证服务器 |
| CN101572719A (zh) * | 2008-04-30 | 2009-11-04 | 华为技术有限公司 | 策略决策功能实体、家庭网关、服务质量控制方法及系统 |
| CN102802169A (zh) * | 2011-05-25 | 2012-11-28 | 中兴通讯股份有限公司 | 一种业务访问控制方法和系统 |
| CN103167497A (zh) * | 2011-12-19 | 2013-06-19 | 卓望数码技术(深圳)有限公司 | 一种鉴权处理方法和鉴权处理系统 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108563958B (zh) * | 2018-04-17 | 2022-06-14 | 平安普惠企业管理有限公司 | 角色权限更新方法、装置、计算机设备和存储介质 |
| CN108563958A (zh) * | 2018-04-17 | 2018-09-21 | 平安普惠企业管理有限公司 | 角色权限更新方法、装置、计算机设备和存储介质 |
| CN109274761A (zh) * | 2018-10-22 | 2019-01-25 | 郑州云海信息技术有限公司 | 一种nas集群节点、系统以及数据访问方法 |
| CN109828852A (zh) * | 2019-01-23 | 2019-05-31 | 北京奇艺世纪科技有限公司 | 一种权限管理方法、装置、系统、设备及可读存储介质 |
| CN111698196A (zh) * | 2019-03-15 | 2020-09-22 | 大唐移动通信设备有限公司 | 一种鉴权方法及微服务系统 |
| CN110365745A (zh) * | 2019-06-21 | 2019-10-22 | 北京奇艺世纪科技有限公司 | 数据处理系统、方法、装置、服务器和计算机可读介质 |
| CN110365745B (zh) * | 2019-06-21 | 2022-08-05 | 北京奇艺世纪科技有限公司 | 数据处理系统、方法、装置、服务器和计算机可读介质 |
| CN113434830A (zh) * | 2020-03-23 | 2021-09-24 | 杭州海康威视数字技术股份有限公司 | 一种权限控制的方法及系统 |
| CN113434830B (zh) * | 2020-03-23 | 2023-01-31 | 杭州海康威视数字技术股份有限公司 | 一种权限控制的方法及系统 |
| CN112422490B (zh) * | 2020-04-15 | 2022-07-01 | 岭博科技(北京)有限公司 | 一种基于本地缓存对用户设备进行鉴权的方法及系统 |
| CN112422490A (zh) * | 2020-04-15 | 2021-02-26 | 岭博科技(北京)有限公司 | 一种基于本地缓存对用户设备进行鉴权的方法及系统 |
| CN113556357A (zh) * | 2021-07-30 | 2021-10-26 | 平安普惠企业管理有限公司 | 基于注册中心的鉴权方法、装置、设备及存储介质 |
| WO2024041334A1 (zh) * | 2022-08-22 | 2024-02-29 | 华为云计算技术有限公司 | 鉴权方法、装置、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107659542A (zh) | 一种鉴权方法及服务器 | |
| US20200313889A1 (en) | Zero-knowledge environment based social networking engine | |
| CN102868676B (zh) | 发布/订阅网络中事件的安全分发 | |
| CN104903910B (zh) | 控制移动装置对安全数据的访问 | |
| CN102947797A (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
| CN105637523B (zh) | 安全客户端驱动映射和文件存储系统 | |
| Chen et al. | A blockchain-based intelligent anti-switch package in tracing logistics system | |
| US20120216041A1 (en) | Service system | |
| US20130191629A1 (en) | Secure group-based data storage in the cloud | |
| CN104168304B (zh) | Vdi环境下的单点登录系统及方法 | |
| EP2721547A2 (en) | Data custodian and curation system | |
| US20180041520A1 (en) | Data access method based on cloud computing platform, and user terminal | |
| CN113239375B (zh) | 基于区块链的隐私要素数据共享系统、方法、计算机设备及介质 | |
| CN103229161A (zh) | 连续接入网关和去重数据缓存服务器 | |
| US20220067125A1 (en) | Method for distributing certificate of right to use digital content, and computer program stored in medium in order to carry out method | |
| CN109657492A (zh) | 数据库管理方法、介质及电子设备 | |
| CN106530063A (zh) | 一种网络管理系统 | |
| CN106156345B (zh) | 项目文件存证方法、存证设备及终端设备 | |
| CN106055988B (zh) | 针对控件的权限控制方法及装置 | |
| WO2019183544A1 (en) | System and method for the verification and visualization of subcomponents in a product | |
| JP6760904B2 (ja) | 情報処理装置、情報処理方法、及び情報処理プログラム | |
| CN104995864A (zh) | 用于提供通用持续性云服务的系统、方法和计算机程序产品 | |
| CN106685906B (zh) | 鉴权处理方法、节点及系统 | |
| CN102752308A (zh) | 通过网络提供数字证书综合业务系统及其实现方法 | |
| Dalla | IT security Cloud Computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1250289 Country of ref document: HK |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180202 |